2007-06-29から1日間の記事一覧

「ソースを見る」で見た hidden の値と実際に POST される値が違う

WEB 開発

調査依頼。CSRF 対策のために次の機能を入れた。 更新機能の前の機能でランダム値 (トークン) を払い出す。 トークンをセッションに保存。hidden にも埋め込む。 更新機能では、セッションに入ったトークンと hidden で送られた値を比較し、同じなら更新処理…

「ソースを見る」で見た hidden の値と実際に POST される値が違う

WEB 開発

調査依頼。CSRF 対策のために次の機能を入れた。 更新機能の前の機能でランダム値 (トークン) を払い出す。 トークンをセッションに保存。hidden にも埋め込む。 更新機能では、セッションに入ったトークンと hidden で送られた値を比較し、同じなら更新処理…